Für Unternehmensimplementierungen ist es wichtig zu verstehen, welche Ports die Hybrid-Laufzeitebene verwendet. In diesem Abschnitt werden Ports für die sichere Kommunikation innerhalb der Laufzeitebene sowie externe Ports zur Kommunikation mit externen Diensten beschrieben.
Interne Verbindungen
Die Kommunikation zwischen der Laufzeitebene und der Verwaltungsebene ist mit TLS 1-way und OAuth 2.0 gesichert. Einzelne Dienste nutzen unterschiedliche Protokolle, je nachdem, mit welchem Dienst sie kommunizieren.
Die folgende Abbildung zeigt die Ports und Kommunikationskanäle innerhalb der Hybrid-Laufzeitebene:
Die folgende Tabelle beschreibt die Ports und Kommunikationskanäle in der Hybrid-Laufzeitebene:
Interne Verbindungen
Quelle
Ziel
Protokoll/Port(s)
Sicherheitsprotokoll
Beschreibung
MART
arrow_right_alt
Cassandra
TCP/9042 TCP/9142
mTLS
Sendet Daten für Persistenz
MART-Istio-Ingress
arrow_right_alt
MART
TCP/8443
TLS
Anfragen von der Verwaltungsebene durchlaufen den MART-Istio-Ingress
Standardmäßiger Istio-Ingress
arrow_right_alt
Message Processor
TCP/8443
TLS (von Apigee generiertes, selbst signiertes Zertifikat)
Verarbeitet eingehende API-Anfragen
Message Processor
arrow_right_alt
Cassandra
TCP/9042 TCP/9142
mTLS
Sendet Daten für Persistenz
Message Processor
arrow_right_alt
fluentd (Analytics)
TCP/20001
mTLS
Streamt Daten an den Datenerfassungs-Pod
Cassandra
compare_arrows
Cassandra
TCP/7001
mTLS
Knoteninterne Clusterkommunikation. Port 7000 können Sie auch für die Firewallkonfiguration als alternative Option zur Fehlerbehebung freigeben.
Prometheus
arrow_right_alt
Cassandra
TCP/7070 (HTTPS)
TLS
Messwertdaten aus verschiedenen Diensten übertragen
MART
TCP/8843 (HTTPS)
TLS
Nachrichtenprozessor
TCP/8843 (HTTPS)
TLS
Synchronizer
TCP/8843 (HTTPS)
TLS
UDCA
TCP/7070 (HTTPS)
TLS
Externe Verbindungen
Um Ihre Netzwerkfirewall richtig zu konfigurieren, sollten Sie die ein- und ausgehenden Ports kennen, die Hybrid zur Kommunikation mit externen Diensten verwenden.
Die folgende Abbildung zeigt die Ports, die für die externe Kommunikation mit der Hybrid-Laufzeit verwendet werden:
In der folgenden Tabelle werden die Ports beschrieben, die für die externe Kommunikation mit der Hybrid-Laufzeitebene verwendet werden:
Externe Verbindungen
Quelle
Ziel
Protokoll/Port(s)
Sicherheitsprotokoll
Beschreibung
Eingehende Verbindungen (extern bereitgestellt)
Apigee-Dienste
arrow_right_alt
MART-Istio-Ingress
TCP/443
OAuth über TLS 1.2
Hybrid-API-Aufrufe von der Verwaltungsebene
Clientanwendungen
arrow_right_alt
Standardmäßiger Istio-Ingress
TCP/*
Keine/OAuth über TLS 1.2/mTLS
API-Anfragen von externen Anwendungen
Ausgehende Verbindungen
Nachrichtenprozessor
arrow_right_alt
Back-End-Dienste
TCP/* UDP/*
Keine/OAuth über TLS 1.2
Sendet Anfragen an benutzerdefinierte Hosts
Synchronizer
arrow_right_alt
Apigee-Dienste
TCP/443
OAuth über TLS 1.2
Ruft Konfigurationsdaten ab; stellt eine Verbindung zu apigee.googleapis.com her
GCP
Stellt eine Verbindung mit iamcredentials.googleapis.com zur Autorisierung her
UDCA (Analysen)
arrow_right_alt
Apigee Services (UAP)
TCP/443
OAuth über TLS 1.2
Sendet Daten an UAP auf der Verwaltungsebene, und an GCP. Stellt Verbindungen zu apigee.googleapis.com und storage.googleapis.com her.
Prometheus (Messwerte)
arrow_right_alt
GCP (Stackdriver)
TCP/443
TLS
Es werden Daten auf Verwaltungsebene an Stackdriver gesendet; stellt eine Verbindung zu monitoring.googleapis.com her
fluentd (Logging)
arrow_right_alt
GCP (Stackdriver)
TCP/443
TLS
Es werden Daten auf Verwaltungsebene an Stackdriver gesendet; stellt eine Verbindung zu logging.googleapis.com her
MART
arrow_right_alt
GCP
TCP/443
OAuth über TLS 1.2
Stellt eine Verbindung mit iamcredentials.googleapis.com zur Autorisierung her
* zeigt an, dass der Port konfigurierbar ist. Apigee empfiehlt die Verwendung von 443.
Sie sollten externe Verbindungen für bestimmte IP-Adressen, die *.googleapis.com zugeordnet sind, nicht erlauben. Die IP-Adressen können sich ändern, da die Domain aktuell in mehrere Adressen aufgelöst wird.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-18 (UTC)."],[[["\u003cp\u003eThis document outlines the port usage for the Apigee hybrid runtime plane, which is currently on version 1.1 and is end-of-life.\u003c/p\u003e\n"],["\u003cp\u003eInternal communications within the hybrid runtime plane use a variety of protocols and ports, including TCP 9042/9142 for Cassandra, TCP 8443 for MART and Message Processor interactions, and TCP 7001 for inter-Cassandra node communication, all using mTLS or TLS for security.\u003c/p\u003e\n"],["\u003cp\u003eExternal connections to and from the hybrid runtime plane use ports such as TCP 443 for communications with Apigee Services and GCP, secured with OAuth over TLS 1.2, while client app traffic uses a configurable port secured by None/OAuth over TLS 1.2/mTLS.\u003c/p\u003e\n"],["\u003cp\u003eThe document details outbound connections from components like Message Processor, Synchronizer, UDCA, Prometheus, and fluentd to various external services, including Apigee Services, GCP, and customer-defined backend services.\u003c/p\u003e\n"],["\u003cp\u003eFirewall configurations should avoid relying on specific IP addresses for \u003ccode\u003e*.googleapis.com\u003c/code\u003e due to their dynamic nature, and instead focus on the domain name and relevant ports.\u003c/p\u003e\n"]]],[],null,["# Configure ports and set up firewalls\n\n| You are currently viewing version 1.1 of the Apigee hybrid documentation. **This version is end of life.** You should upgrade to a newer version. For more information, see [Supported versions](/apigee/docs/hybrid/supported-platforms#supported-versions).\n\nUnderstanding which ports the hybrid runtime plane uses is important for enterprise\nimplementations. This section describes the ports used for secure communications within the\nruntime plane as well as external ports used for communications with external services.\n\nInternal connections\n--------------------\n\nCommunication between the runtime plane and management plane is secured with TLS 1-way and OAuth\n2.0. Individual services use different protocols, depending on which service they are communicating\nwith.\n\nThe following image shows the ports and communications channels within the hybrid runtime\nplane:\n\nThe following table describes the ports and communications channels within the hybrid runtime\nplane:\n\nExternal connections\n--------------------\n\nTo appropriately configure your network firewall, you should know the inbound and outbound ports\nused by hybrid to communicate with external services.\n\nThe following image shows the ports used for external communications with the hybrid runtime\nplane:\n\nThe following table describes the ports used for external communications with the hybrid runtime\nplane:\n\nYou should not allow external connections for any specific IP addresses associated with\n`*.googleapis.com`. The IP addresses can change since the domain currently resolves to\nmultiple addresses."]]
